Cursor IDE: уязвимости DuneSlide позволяли выйти за пределы песочницы через prompt injection
Исследователи Cato Networks нашли две уязвимости в Cursor IDE (CVE-2026-50548 и CVE-2026-50549), получившие название DuneSlide. Через prompt injection атакующий мог вырваться из песочницы и выполнить произвольный код. Патч вышел в Cursor 3.0 в апреле 2025 года. Cato сообщает, что аналогичные проблемы есть и в других популярных AI-агентах для кодинга.
Исследователи из Cato Networks опубликовали детали двух уязвимостей в Cursor IDE, которые в связке позволяли злоумышленнику выполнить код на машине жертвы - без каких-либо предварительных привилегий и практически без участия пользователя.
Что за уязвимости и как они работают
Уязвимости отслеживаются под номерами CVE-2026-50548 и CVE-2026-50549, а в совокупности Cato назвала их DuneSlide.
Cursor ограничивает действия своего AI-агента через так называемый command execution sandbox - по умолчанию агент может писать файлы только в директорию текущего проекта. Именно этот барьер исследователи и обошли двумя разными способами.
Первый способ: инструмент run_terminal_cmd принимает параметр working_directory, который позволяет программно переопределить рабочую директорию. Через prompt injection атакующий мог подставить туда путь за пределами проекта - и, например, перезаписать сам исполняемый файл cursorsandbox, добавить вредоносный скрипт в конфиг шелла или положить что-нибудь в ~/Library/LaunchAgents на macOS.
Второй способ: агент мог создать символическую ссылку (symlink) внутри проекта, указывающую на файл снаружи. Логика проверки путей в Cursor содержала опасный fallback: если канонизация пути не удавалась (например, путь не существует или нет прав на чтение одной из директорий), Cursor использовал исходный путь symlink-а без проверки. Этого было достаточно, чтобы выйти за границы песочницы.
Как запускается атака
Эксплойт срабатывает, когда пользователь делает обычный запрос к агенту, а тот при этом обрабатывает данные из ненадёжного источника - например, результаты веб-поиска или ответ MCP-сервера, которые содержат спрятанный payload.
Цитата из отчёта Cato Networks:
«Эксплойт не требует предварительных привилегий или конкретных действий со стороны пользователя. Он срабатывает, когда жертва делает безобидный запрос, который случайно обрабатывает payload под контролем злоумышленника - из ненадёжного источника, например MCP-сервера или результата веб-поиска».
Патч и контекст вокруг Cursor
Обе уязвимости закрыты в Cursor версии 3.0, которая вышла в апреле 2025 года.
Cursor - один из самых популярных AI-ассистентов для разработки в корпоративном сегменте. Недавно компанию приобрела SpaceX в рамках сделки на $60 млрд акциями.
Почему это шире, чем один продукт
Cato прямо говорит: Cursor здесь не исключение. Cato AI Labs находится в процессе ответственного раскрытия уязвимостей во всех популярных AI-агентах для кодинга.
«Если бы это были единичные случаи компрометации через prompt injection, мы могли бы списать их на специфические уязвимости конкретного продукта», - пишут исследователи. - «Но это системная проблема, требующая системного подхода к защите».
LLM-модели по своей природе уязвимы к вредоносным инструкциям, спрятанным в обрабатываемых данных. Чем больше у агента инструментов - браузер, API, доступ к файловой системе, - тем шире поверхность атаки.
Защита строится в несколько слоёв: guardrails в самой модели, системные промпты с запретами, supervisor-модели, keyword-фильтрация, гранулярные права доступа, подтверждение чувствительных операций человеком. Но ни один из этих механизмов не даёт гарантий сам по себе.
Что это значит
Если ты используешь Cursor - обнови до версии 3.0 или выше, если ещё не сделал этого.
Если ты продакт или инженер, который внедряет AI-агентов в рабочие процессы: история с DuneSlide наглядно показывает, что sandbox - необходимый, но недостаточный контроль. Агент, который может ходить в интернет или принимать данные из внешних MCP-серверов, потенциально несёт в себе вектор атаки через сами данные, которые он обрабатывает.
Cato обещает раскрыть аналогичные проблемы в других популярных coding-агентах - стоит следить за их публикациями.
Источник: CSO Online, 2 июля 2025